Fuite DNS VPN : comment tester et corriger (France 2026)

Qu'est-ce qu'une fuite DNS ?

Chaque fois que vous tapez une adresse dans votre navigateur — forum, banque, streaming — votre appareil traduit ce nom de domaine en adresse IP via un serveur DNS. Avec un VPN correctement configuré, ces requêtes DNS transitent à l'intérieur du tunnel chiffré, vers le serveur DNS du VPN, pas vers celui de votre FAI.

Mais il existe plusieurs scénarios où la requête DNS contourne le tunnel et part directement vers les serveurs d'Orange, Free, SFR ou Bouygues. C'est ce qu'on appelle une fuite DNS. Résultat concret : même si votre IP est masquée, votre FAI voit toujours la liste des domaines que vous consultez. Ce n'est pas identique à une fuite d'IP — votre localisation physique n'est pas forcément exposée — mais c'est une brèche réelle dans votre confidentialité, suffisante pour profiler votre activité en ligne.

Sur les réseaux 4G/5G Orange, les fuites DNS sont particulièrement fréquentes : l'opérateur pousse ses propres résolveurs DNS via DHCP et via IPv6, souvent en parallèle de ce que distribue votre app VPN. En coworking parisien ou dans une salle d'attente TGV, le problème vient parfois du portail captif lui-même, qui intercepte le DNS pour la page de login.

Comment tester une fuite DNS (fiable)

Avant de toucher quoi que ce soit, établissez une référence sans VPN. Déconnectez-vous, ouvrez un onglet normal (pas de navigation privée, pas d'extension VPN) et allez sur dnsleaktest.com. Cliquez "Extended test". Notez les serveurs affichés — ils appartiennent à votre FAI : Orange Telecom, Free, SFR ou Bouygues.

Ensuite, connectez votre VPN et relancez le même test. Le résultat attendu : uniquement des serveurs DNS de votre fournisseur VPN. Si des serveurs de votre FAI persistent — ou si vous voyez un mélange — vous avez une fuite active.

Complétez avec deux tests supplémentaires : sur ipleak.net pour détecter une fuite IPv6 (une adresse IPv6 liée à votre FAI ne doit pas apparaître quand le VPN est actif), et sur browserleaks.com/webrtc pour les fuites WebRTC (votre IP publique réelle ne doit pas être visible dans le navigateur).

Répétez ces tests après mise en veille, après basculement Wi-Fi/4G, et après chaque mise à jour de Windows ou du client VPN. Les fuites apparaissent le plus souvent lors de ces transitions réseau — c'est précisément là que le Kill Switch doit intervenir.

Signes d'une fuite DNS

Une fuite DNS se manifeste rarement par un message d'erreur explicite. C'est plutôt une série d'indices : votre test DNS affiche des résultats différents selon que vous testez sur Chrome ou Firefox, ou la fuite apparaît seulement quand vous revenez d'une mise en veille. Voici les symptômes les plus courants et ce qu'ils signalent.

Pourquoi ça arrive : les 4 causes principales

IPv6 : pourquoi ça casse le tunnel

La plupart des VPN grand public font tourner leur tunnel en IPv4. Quand votre box Orange ou Free distribue une adresse IPv6 à votre appareil — ce qui est le cas par défaut sur les réseaux modernes — les requêtes DNS sur ce protocole sortent simplement hors du tunnel. Elles arrivent directement au résolveur IPv6 de votre opérateur, transparent pour l'utilisateur et pour la plupart des apps VPN.

Solution : vérifiez si votre app VPN propose une option "Bloquer les fuites IPv6" ou "IPv6 leak protection". Si oui, activez-la. Si non — ou si vous n'êtes pas sûr — désactivez l'IPv6 au niveau de l'OS (Windows : Panneau de configuration → Connexions réseau → propriétés de la carte → décocher IPv6) ou directement depuis l'interface d'administration de votre box.

DoH : ami ou piège ?

DNS over HTTPS (DoH) améliore la confidentialité dans un contexte classique — en chiffrant les requêtes DNS pour qu'elles ne soient pas lisibles sur le réseau local. Mais avec un VPN, DoH peut devenir un problème. Si votre navigateur est configuré pour utiliser DoH via Cloudflare (1.1.1.1) ou Google (8.8.8.8), ces requêtes HTTPS peuvent passer hors tunnel, via votre connexion réseau directe. Votre FAI ne voit pas le contenu DNS, mais un tiers comme Cloudflare voit vos requêtes — ce qui contredit l'objectif de confidentialité totale.

La règle simple : si vous utilisez un VPN, désactivez DoH dans le navigateur et laissez le VPN gérer le DNS. Ou assurez-vous que votre client VPN supporte DoH de bout en bout et que le navigateur pointe vers son résolveur interne au tunnel. Chrome, Firefox et Edge activent tous DoH automatiquement sur les réseaux qu'ils considèrent "sécurisés" — vérifiez les réglages de confidentialité de chacun.

Windows Smart Multi-Homed DNS

Windows 8 et suivants intègrent une fonctionnalité appelée Smart Multi-Homed Name Resolution. Son principe : Windows envoie simultanément la requête DNS à toutes les interfaces réseau disponibles — l'interface VPN, la carte Wi-Fi, et parfois une interface IPv6 — et retient la première réponse reçue. Sur un réseau avec une bonne latence FAI (ce qui est le cas pour Orange et SFR en France), c'est souvent le DNS de votre opérateur qui répond en premier. Résultat : fuite DNS garantie, même si tout le reste est correctement configuré.

Split tunneling mal configuré

Le split tunneling permet de définir quelles applications passent par le VPN et lesquelles utilisent la connexion directe. Pratique pour accéder à des ressources locales. Mais si une application exclue du tunnel fait des requêtes DNS vers des domaines sensibles, ces requêtes sortent hors du VPN. La règle de sécurité : si vous n'êtes pas certain de votre configuration, désactivez le split tunneling et utilisez le full tunnel. Voir notre guide détaillé sur le split tunneling VPN.

Réparer : méthode par priorité (Top 8)

Voici les huit correctifs dans l'ordre de probabilité d'impact. Le Kill Switch est souvent le plus simple à activer et le plus efficace pour les fuites de reconnexion. L'IPv6 et le Smart DNS Windows sont les deux causes les plus fréquentes des fuites persistantes en France.

Après chaque modification, relancez le test étendu sur dnsleaktest.com avec le VPN actif. Si seuls les serveurs de votre VPN apparaissent, l'étape est validée. Si des serveurs FAI persistent, passez au point suivant de la liste.

Navigateurs : Chrome, Firefox, Brave

Le navigateur est souvent le maillon faible dans la chaîne DNS. Chrome, Firefox et Edge activent DoH par défaut dans certaines conditions, sans alerter l'utilisateur. Brave tend à mieux respecter le DNS système dans sa configuration de base — mais même lui a ses subtilités selon la version.

Chrome : Paramètres → Confidentialité et sécurité → Sécurité → DNS sécurisé. Sélectionnez "Utiliser le fournisseur DNS actuel" ou désactivez complètement. Ne choisissez pas Cloudflare ou Google si votre VPN gère le DNS.

Firefox : tapez about:config dans la barre d'adresse, cherchez network.trr.mode. Valeur 5 = DoH désactivé, Firefox utilise le DNS système (celui du VPN). C'est le réglage recommandé quand un VPN est actif.

Brave : Paramètres → Confidentialité et sécurité → Sécurité → DNS sécurisé. Par défaut, Brave suit le DNS système — vérifiez que cette option est bien sélectionnée. Activez aussi le blocage WebRTC natif dans Paramètres → Confidentialité et sécurité → Empêcher les fuites WebRTC.

Windows : Smart Multi-Homed DNS, Teredo et LLMNR/NetBIOS

La désactivation du Smart Multi-Homed DNS se fait via le Registre Windows : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters, valeur DWORD DisableSmartNameResolution à 1. Sur les machines en entreprise, une GPO fera la même chose de façon centralisée.

Teredo : protocole de tunneling IPv6 sur IPv4, intégré à Windows depuis Vista. Il crée une interface réseau virtuelle qui peut envoyer des paquets encapsulés directement vers internet, contournant le tunnel VPN. Désactivation rapide via PowerShell en administrateur : netsh interface teredo set state disabled. Vérification : netsh interface teredo show state doit indiquer "Disabled".

LLMNR et NetBIOS : ces protocoles permettent à Windows de résoudre des noms d'hôtes sur le réseau local sans passer par un serveur DNS. Sur un Wi-Fi public — café Marais, gare Montparnasse, salle de coworking — ces requêtes sont diffusées en broadcast et peuvent exposer le nom de votre machine, votre groupe de travail, et d'autres informations réseau. Désactivation NetBIOS : Panneau de configuration → Connexions réseau → Propriétés IPv4 → Avancé → WINS → "Désactiver NetBIOS sur TCP/IP". Pour LLMNR : registre ou GPO, EnableMulticast = 0 dans HKLM\Software\Policies\Microsoft\Windows NT\DNSClient.

Pour les profils VPN configurés nativement dans Windows (sans app tierce), consultez aussi notre guide sur la configuration VPN Windows — en particulier le réglage "Utiliser la passerelle distante par défaut" qui doit être activé pour forcer le DNS dans le tunnel.

Wi-Fi publics en France : hôtels, cafés et gares

Si vous travaillez depuis un café parisien, un hôtel en province ou une salle d'attente TGV à la Gare de Lyon, le Wi-Fi public est votre ennemi numéro un en matière de fuites DNS. Ces réseaux utilisent quasi-universellement des portails captifs — une page web interposée qui intercepte votre trafic pour vous demander de vous identifier ou d'accepter des conditions d'utilisation.

La mécanique du problème : pour afficher cette page de login, le réseau doit intercepter vos requêtes DNS et les rediriger vers son propre serveur. Si vous lancez votre VPN avant de passer par ce portail, le VPN bloque l'interception — et vous ne pouvez pas vous connecter. Si vous forcez la connexion VPN sans vous être authentifié au portail, votre client peut se retrouver dans un état instable où le tunnel est partiellement monté mais des requêtes DNS passent encore hors tunnel.

La procédure correcte en trois étapes : (1) connectez-vous au Wi-Fi public, (2) ouvrez un navigateur et complétez l'authentification du portail captif — attendez la confirmation de connexion réseau, (3) lancez votre VPN. Dans cet ordre, le tunnel est propre dès le départ. Consultez également notre checklist sécurité Wi-Fi pour un tour complet des risques sur réseaux partagés.

Sur les réseaux coworking à Paris ou Lyon, vérifiez aussi si un proxy transparent est en place — certains espaces filtrent le trafic d'une façon qui interfère avec les requêtes DNS, même après login. Dans ce cas, un VPN utilisant le protocole WireGuard ou OpenVPN TCP sur port 443 passe généralement mieux. En mobilité 4G/5G Orange ou Free, l'opérateur peut imposer ses DNS via DHCPv6 — forcer l'APN en IPv4-only dans les paramètres réseau mobiles résout souvent le problème. Voir aussi notre guide VPN sur Wi-Fi public pour les cas mobiles et les réseaux ouverts.

Vérification finale et bonnes pratiques

Une fois vos correctifs appliqués, voici le protocole de vérification finale. D'abord, relancez le test étendu sur dnsleaktest.com avec le VPN actif — uniquement les serveurs du VPN doivent apparaître. Vérifiez ensuite sur ipleak.net l'IPv6 — aucune adresse liée à votre FAI ne doit apparaître. Testez WebRTC sur browserleaks.com/webrtc — votre IP publique réelle ne doit pas être visible.

Simulez une déconnexion : mettez votre machine en veille, réveillez-la, reconnectez-vous au réseau — puis relancez les tests sans reconnecter manuellement le VPN. Si le Kill Switch est en mode "always-on", aucune requête ne doit avoir fui pendant la transition. Si des fuites apparaissent à ce moment précis, votre Kill Switch n'est pas correctement configuré.

Pour les utilisateurs réguliers de réseaux publics, intégrez le test DNS comme premier geste dès que vous rejoignez un nouveau réseau — avant d'ouvrir quoi que ce soit d'autre. Deux minutes de vérification valent mieux qu'une heure de remédiation.

Dernière note : une politique no-logs sérieuse est complémentaire à la protection contre les fuites DNS, pas substituable. Un VPN peut respecter scrupuleusement sa politique de zéro journalisation et laisser fuiter vos DNS si la configuration réseau est défaillante. Les deux angles comptent — et les deux se vérifient indépendamment.

Questions fréquentes

Une fuite DNS est-elle aussi grave qu'une fuite d'IP ?

Ce n'est pas la même chose, mais c'est souvent presque aussi gênant. Votre localisation physique n'est pas forcément exposée, mais les domaines que vous consultez peuvent l'être — ce qui suffit à profiler votre activité en ligne.

Mon VPN gratuit me protège-t-il des fuites DNS ?

Rarement de façon fiable. La plupart des VPN gratuits ne proposent ni Kill Switch ni gestion correcte d'IPv6. Un VPN payant avec une bonne réputation de sécurité est la base minimale pour éviter les fuites structurelles.

Pourquoi la fuite apparaît-elle seulement sur certains navigateurs ?

Parce que chaque navigateur peut avoir son propre résolveur DNS (DoH activé ou non). Chrome peut utiliser Cloudflare tandis que Firefox suit le DNS système. Vérifiez les réglages de confidentialité de chaque navigateur séparément.

Un redémarrage corrige-t-il la fuite ?

Parfois temporairement — le cache DNS est vidé au démarrage. Mais si la cause est structurelle (Smart Multi-Homed DNS, IPv6 non géré), la fuite reviendra au prochain démarrage du VPN. Il faut corriger la configuration, pas juste redémarrer.

Comment savoir si mon VPN gère correctement l'IPv6 ?

Cherchez dans les paramètres de votre client VPN une option "IPv6 leak protection" ou "Bloquer les fuites IPv6". Si elle n'existe pas, votre VPN est probablement IPv4-only — désactivez alors l'IPv6 au niveau de l'OS ou de la box.